ipfw

uvetrom · Непрочитанное сообщение **uvetrom** » 2010-11-09 10:31:50

не пойму что в скрипте писать, конструкция

add 10230 allow ip 50 tcp from any to any via vr0

не работает.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Непрочитанное сообщение **FreeBSP** » 2010-11-09 10:49:16

ступил
я - потому что не все выкинул что надо
ты - потому что бездумно скопировал

Код: Выделить всё

add 10230 allow ip from any to any via vr0

и вообще, файер надо учить, а не собирать по крупинкам.

uvetrom · Непрочитанное сообщение **uvetrom** » 2010-11-09 12:09:45

Да, я честно говоря уже так и сделал

Спасибо за помощь!

С ssh сам попробую разобраться.

uvetrom · Непрочитанное сообщение **uvetrom** » 2010-11-09 12:50:10

не получается.
конструкция взята из хендбука:

Код: Выделить всё

add 10330 allow tcp from any to any 22 out via vr0 setup keep-state

пробовал несколько похожих конструкций, эффект тот же, на ссш тишина.

Непрочитанное сообщение **FreeBSP** » 2010-11-09 13:33:06

ssh откуда куда?
одно правило ни о чем не говорит, показывай вывод ipfw show
разрешение на входящие пакеты от ssh есть? в этом правеле могут ходить только исходящие пакеты, точнее выходящие с сервера через vr0
такое ощущение что ты не очень понимаешь сути файерволла

uvetrom · Непрочитанное сообщение **uvetrom** » 2010-11-09 13:36:23

Может быть и не очень, я просто написал последнее что я пробовал, от без исходности.

Код: Выделить всё

add 10330 allow tcp from any to me 22 via vr0 keep-state

вот что было первое.

Непрочитанное сообщение **FreeBSP** » 2010-11-09 14:28:07

не надо безысходности!
надо понять как ходят пакеты, как они могут ходить, и как не должны, как они появляются в системе, как проходят рулсет, когда выходят из файера и как ведут себя после этого
после того как ты это поймешь и осознаешь, ты сможешь написать правильный рулсет

а пока перечитай мое сообщение и ответь на вопросы

uvetrom · Непрочитанное сообщение **uvetrom** » 2010-11-09 14:51:01

надо что бы ssh работал на всех интерфейсах или только на внешнем, не принципиально.

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01040 allow ip from any to any via rl0
10130 nat 1 ip from any to any via vr0
10230 allow log logamount 50 tcp from any to me dst-port 22 via vr0 keep-state
65535 deny ip from any to any

Вот. Не работает

Непрочитанное сообщение **FreeBSP** » 2010-11-09 17:03:54

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
01040 allow ip from any to any via rl0
10130 nat 1 ip from any to any via vr0
10230 allow ip from any to any via vr0
65535 deny ip from any to any

как то так должно быть
конкретно ssh разрешается как то так

Код: Выделить всё

allow ip from any to me 22
allow ip from me 22 to any

но опять же в отрыве от контекста это ничего не значит
если положить их куда то в конц, куда пакеты доходить не будут то эти правила и работать не будут
в твоем рулсете должно быть как то так

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
01040 allow ip from any to any via rl0
allow ip from any to me 22
allow ip from me 22 to any
10130 nat 1 ip from any to any via vr0
10230 allow ip from any to any via vr0
65535 deny ip from any to any

uvetrom · Непрочитанное сообщение **uvetrom** » 2010-11-09 17:21:22

Да, теперь я смысл понял....
Заработало, огромное спасибо за науку и терпение.

Непрочитанное сообщение **FreeBSP** » 2010-11-09 17:33:47

все мы были маленькими и глупенькими

найди время, разберись как конкретно ходят пакеты, как их обрабатыает файер, откуда они берутся и куда отправляются.. полезно. даже после этого с ходу рулсет написать сложно, но по крайней мере будешь понимать что и почему

uvetrom писал(а):Да, теперь я смысл понял....

еще не понял... но начинаешь понимать

gena · Непрочитанное сообщение **gena** » 2010-11-26 1:35:03

Будте добры подскажыте пожалуста как сделать чтобы ssh работал с внешки так и с локалки на FreeBSD 7.2 ета схема не работает

Код: Выделить всё

nat 1 config log if vr0 reset same_ports deny_in
# заварачиваем все что проходит через внешний интерфейс в нат
add 10130 nat 1 ip from any to any via vr0
#ssh из внешки
add allow log tcp from any to me 22 keep-state
# боимся непонятного
add 65534 deny all from any to any

а если сделать так то работает токо с внешнего мира

Код: Выделить всё

#ssh из внешки
add allow log tcp from any to me 22 keep-state
nat 1 config log if vr0 reset same_ports deny_in
# заварачиваем все что проходит через внешний интерфейс в нат
add 10130 nat 1 ip from any to any via vr0

# боимся непонятного
add 65534 deny all from any to any

Актуальный вопрос также с icmp ситуация таже
Зарание большое спасибо!

gena · Непрочитанное сообщение **gena** » 2010-11-26 19:36:15

Получаетса deny_in блокирует все входяшие из мира соединения

forum.lissyara.su

ipfw

Re: ipfw

Услуги хостинговой компании Host-Food.ru

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw